我正在使用Splunk通过TCP接收Heroku logs。 Heroku将这些日志格式化为:
[timestamp] [host] [source] [process] - - [message]
对于nginx进程,日志如下:
[timestamp] [host] heroku nginx - - [nginx's output]
我想使用Splunk的默认访问 - 提取字段转换来处理这些日志。我看了一些引用其他转换的其他内置转换,并尝试将其作为我的新转换的正则表达式:
(?i) heroku nginx \- \- [[access-extractions]]
然而,当我点击“保存”时,我得到:
尝试保存时遇到以下错误: 在处理程序'transforms-extract'中: 正则表达式:字符类中的范围无序
在字段转换中引用其他字段转换的语法是什么?这是我做我想做的最好的方式吗?
答案 0 :(得分:1)
没关系,我升级到v4.3.1,正则表达式现在正常工作。